Personuppgifter i forskning

Behandling av personuppgifter

All behandling och hantering av personuppgifter inom forsknings- och studentarbeten vid Mittuniversitetet måste finnas registrerat av lärosätet. Kontakta dataskyddsombudet för hjälp med registrering. 

Ändamål med behandlingen

All behandling av personuppgifter ska ha ett särskilt, uttryckligt angivet och berättigat ändamål. Utgångspunkten är att personuppgifter som samlats in för ett särskilt ändamål inte senare får behandlas på ett sätt som är oförenligt med detta ändamål. I ett forskningsprojekt är ändamålet normalt att utföra den forskning som projektet avser att genomföra.

Genom ett undantag från huvudregeln är det dock möjligt att använda uppgifter som samlats in för ett specifikt forskningsprojekt i senare forskningsprojekt. När man använder personuppgifter för ett annat forskningsprojekt än det som uppgifterna ursprungligen samlades in för måste man fortfarande följa övriga bestämmelser i dataskyddsförordningen.

Vilka personuppgifter ska behandlas?

För att kunna ta ställning till om personuppgifter hanteras i enlighet med dataskyddsförordningen behöver du identifiera vilka personuppgifter som ska behandlas inom ramen för ditt forskningsprojekt.

Vilka uppgifter som behandlas och i vilken omfattning det sker kan få betydelse för senare bedömningar, till exempel för att avgöra vad som utgör ett lämplig skydd för uppgifterna.

Rättslig grund för behandlingen

Behandling av personuppgifter inom ramen för ett forskningsprojekt kan stödjas på någon av de rättsliga grunderna allmänt intresse eller samtycke.

Möjligheten att använda allmänt intresse som rättslig grund utgår ifrån det faktum att bedriva forskning är en del av universitetets uppdrag. För att ett samtycke ska kunna användas som rättslig grund, och anses vara giltigt, finns det en rad faktorer att beakta.

Kontakta gärna juristfunktionen om du behöver hjälp att avgöra vilken rättlig grund som är lämplig i det enskilda fallet eller om du behöver hjälp med granskning av en samtyckesformulering.

Särskilda regler för känsliga personuppgifter

Dataskyddsförordningen har särskilt strikta regler när det gäller hantering av känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar en persons politiska åsikter, ras eller etniska ursprung, religiösa eller filosofiska övertygelse eller dennes medlemskap i fackförening. Genetiska och biometriska uppgifter, hälsouppgifter och uppgifter om en fysisk persons sexualliv eller sexuella läggning utgör också känsliga personuppgifter.

Utgångspunkten i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden och att det krävs en särskild grund utöver den rättsliga grunden för att det ska vara tillåtet att behandla sådana uppgifter. Vetenskapliga eller historiska forskningsändamål är en sådan särskild grund. Det är alltså tillåtet att behandla känsliga personuppgifter när det är nödvändigt för vetenskapliga eller historiska forskningsändamål, under förutsättning att forskningen har godkänts vid en etikprövning.

Forskning på känsliga personuppgifter får enligt etikprövningslagen utföras enbart om den har godkänts vid en etikprövning. Forskning som innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden ska också etikprövas enligt etikprövningslagen. Detta gäller även om uppgifterna inte är känsliga i dataskyddsförordningens mening.

Information till de registrerade

Som utgångspunkt ska den vars personuppgifter behandlas få information om att universitetet behandlar uppgifterna samt informeras om en rad andra uppgifter. Kontakta juristfunktionen om du behöver hjälp att ta fram eller granska den information som ska lämnas till forskningspersonerna i ett forskningsprojekt.

Det finns några undantag från informationsskyldigheten i dataskyddsförordningen. Undantagen kan bara användas då uppgifterna hämtas från någon annan än den registrerade, till exempel från ett register, och utgångspunkten är att de ska tillämpas restriktivt. Den första undantagssituationen är när tillhandahållandet av informationen visar sig vara omöjligt. Den andra undantagssituationen är när tillhandahållandet av informationen skulle medföra en oproportionerlig ansträngning.

Den tredje undantagssituationen är när tillhandahållandet av informationen sannolikt kommer att göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med behandlingen.

Om man i ett forskningsprojekt kommer fram till att någon av undantagssituationerna är tillämplig ska man skriftligen dokumentera sitt ställningstagande och ange en motivering till varför de registrerade inte kommer att få information om behandlingen. Dessutom ska allmän information om den behandling av personuppgifter som sker inom forskningsprojektet tillgängliggöras för allmänheten.

Lämpliga skyddsåtgärder ska också vidtas. Vilka åtgärder som är lämpliga får avgöras utifrån varje enskilt fall men kan exempelvis bestå i att man gör en konsekvensbedömning, använder pseudonymisering eller minimerar antalet insamlade uppgifter och tiden som de lagras.

Längre ner på sidan finns mer information om konsekvensbedömningar. 

Dela uppgifter med någon utanför universitetet

Om forskningsprojektet kommer att dela uppgifter med någon utanför universitetet finns det anledning att ta ställning till om ett personuppgiftsbiträdesavtal behöver upprättas. Personuppgiftsbiträdesavtal är ett krav när någon utanför universitetets organisation behandlar personuppgifter för forskningsprojektets räkning.

Personuppgifter får som utgångspunkt inte överföras till ett land utanför EU/EES. Om personuppgifter måste överföras till ett land utanför EU/EES är det viktigt att uppgifterna överförs på ett säkert sätt. En jurist bör kontaktas för rådgivning.

För överföringar av personuppgifter till USA så har EU-kommissionen beslutat att detta är tillåtet under förutsättning att mottagaren har anslutit sig till det som kallas Privacy Shield. Vissa amerikanska tidskrifter har anslutit sig till Privacy Shield och det går att kontrollera om en tidskrift är ansluten via följande webbplats: 

https://www.privacyshield.gov/list

Tänk på att vissa tidskrifter inte är registrerade med tidskriftens namn utan med namnet på det företag som äger tidskriften.

Lämpligt skydd för personuppgifterna

Vid behandling av personuppgifter i ett forskningsprojekt ska lämpliga skyddsåtgärder vidtas för uppgifterna. Vilka åtgärder som är lämpliga beror på den enskilda situationen, vilken kategori av uppgifter som behandlas och hur många uppgifter det handlar om.

Regler kring arkivering och radering

Personuppgifter får enligt dataskyddsförordningen inte sparas under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in. Det är dock tillåtet att behandla personuppgifter längre för arkivändamål. Forskningsdata med personuppgifter ska arkiveras i enlighet med rutinerna för arkivering av forskningshandlingar.

Behöver en konsekvensbedömning göras?

Om en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter så är vi enligt dataskyddsförordningen skyldiga att göra en så kallad konsekvensbedömning.

Situationer när det kan krävas en konsekvensbedömning är till exempel vid behandling av känsliga personuppgifter, uppgifter som är mycket personliga, eller behandling i stor omfattning. Det kan också krävas vid behandling där man kombinerar personuppgifter från två eller flera källor på ett sätt som den registrerade inte förväntar sig (till exempel när man samkör register). Ytterligare tillfällen då det kan krävas är vid behandling av uppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara (till exempel barn, anställda, asylsökande, äldre eller patienter).

Vänd dig gärna till dataskyddsombudet som kan hjälpa dig bedöma om det krävs en konskvensbedömning eller inte. 

• Rutin för konsekvensbedömning
• Mall för konsekvensbedömning

Annat att tänka på

Personuppgifterna som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Det är inte tillåtet att behandla fler uppgifter än nödvändigt, så samla bara in de uppgifter som behövs för att utföra forskningsprojektet. Uppgifterna ska vara korrekta och om nödvändigt uppdaterade.